Consejos de seguridad básica en Firewalls - Protección frente a ataques comunes

Bloquear todo el tráfico entrante cuyas direcciones de origen estén dentro del propio intervalo de direcciones
No hay prácticamente ninguna razón válida para que el tráfico procedente de su misma red aparezca en Internet e intente volver a la misma. Esto puede ser un claro signo de que alguien está intentando "imitar su personalidad". Por "imitación de personalidad" se entiende el acto de hacer que parezca que los datos se han enviado desde un equipo concreto cuando en realidad no ha sido así. Esta técnica se debe considerar sospechosa ya que a menudo es la utilizada por los ataques de troyanos y de denegación del servicio (DoS) para obtener acceso no autorizado a la red.

Bloquear todo el tráfico saliente cuyas direcciones de origen no estén dentro del propio intervalo de direcciones
Esta regla equivale a la número 1. No hay prácticamente ninguna razón válida para que el tráfico procedente de otra red abandone su propia red. Esto es un claro signo de que alguien está utilizando su red para "imitar su personalidad" o atacar a otro usuario. Mientras que la regla número 1 le protege a usted, la número 2 protege a otros usuarios. Es importante disponer de las dos.

Bloquear todo el tráfico entrante y saliente cuando las direcciones de origen y de destino estén en intervalos de direcciones privadas
Bloquee todo el tráfico entrante y saliente cuando las direcciones de origen o de destino estén en intervalos de direcciones privadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 y 169.254.0.0/16). Según se ha establecido, estas direcciones no deberían estar presentes en la Internet pública. Se reservan para el uso de redes locales internas. No deje que este tráfico salga de la red y bloquee el tráfico entrante (lo que podría constituir una prueba de que alguien no ha establecido la configuración de enrutamiento correcta).

Bloquear todo el tráfico entrante y saliente con ruta de origen
El protocolo de Internet (IP) permite una opción específica denominada "ruta de origen" que se utiliza para especificar la ruta que un paquete debería seguir para alcanzar su destino y, a continuación, volver a su lugar de origen. Con frecuencia, la ruta especificada emplea enrutadores o hosts que normalmente no se utilizarían para enviar paquetes a su destino. Hace muchos años, esta opción se utilizaba con bastante asiduidad. Sin embargo, como la infraestructura actual de Internet ha demostrado ser muy segura, los paquetes se deberían entregar únicamente siguiendo las rutas de enrutamiento estándar internas y externas de Internet. El tráfico de ruta de origen es un claro signo de que un atacante está intentando burlar su propia infraestructura de enrutamiento al designar un falso cliente de confianza del servidor.

Bloquear todos los fragmentos entrantes y salientes
El protocolo IP permite que un paquete se divida en varios paquetes IP denominados fragmentos. A los fragmentos les faltan los encabezados del protocolo de control de transporte (TCP) o del protocolo de datagrama de usuario (UDP) que forman parte de los paquetes normales y que, por lo tanto, pasarán de forma inadvertida algunos tipos de dispositivos de "filtrado de paquetes" (por ejemplo, un gran número de dispositivos de servidor de seguridad). Los fragmentos de paquetes son casi siempre un claro síntoma de que se ha producido un ataque: un atacante emplea elaborados fragmentos para intentar burlar los dispositivos de seguridad.

Nota:---las redes privadas virtuales basadas en IPsec (VPN) a menudo crean fragmentos de paquetes que son el resultado de claves muy largas utilizadas en el proceso de autenticación. Si permite la implementación de una red VPN basada en IPsec en los límites de la red, deberá considerar esta regla como opcional hasta que haya determinado si funcionará o no con su red privada virtual.